stringtranslate.com

Filtrado de entrada

En redes informáticas , el filtrado de entrada es una técnica que se utiliza para garantizar que los paquetes entrantes procedan realmente de las redes de las que dicen proceder. Esto se puede utilizar como contramedida contra diversos ataques de suplantación de identidad en los que los paquetes del atacante contienen direcciones IP falsas . La suplantación de identidad se utiliza a menudo en ataques de denegación de servicio y mitigarlos es una de las principales aplicaciones del filtrado de entrada. [1]

Problema

Las redes reciben paquetes de otras redes. Normalmente, un paquete contendrá la dirección IP del equipo que lo envió originalmente. Esto permite que los dispositivos de la red receptora sepan de dónde proviene, lo que permite que se envíe una respuesta (entre otras cosas), excepto cuando las direcciones IP se utilizan a través de un proxy o una dirección IP falsificada, que no identifica a un usuario específico dentro de ese grupo de usuarios.

La dirección IP de un remitente puede ser falsificada ( spoofed ), lo que caracteriza un ataque de suplantación de identidad . Esto oculta el origen de los paquetes enviados, por ejemplo, en un ataque de denegación de servicio . Lo mismo se aplica a los servidores proxy, aunque de una manera diferente a la suplantación de identidad IP.

Soluciones potenciales

Una posible solución consiste en implementar el uso de puertas de enlace intermedias de Internet (es decir, aquellos servidores que conectan redes dispares a lo largo de la ruta seguida por un paquete determinado) que filtren o rechacen cualquier paquete que se considere ilegítimo. La puerta de enlace que procesa el paquete podría simplemente ignorarlo por completo o, cuando sea posible, podría enviar un paquete de vuelta al remitente retransmitiendo un mensaje de que el paquete ilegítimo ha sido rechazado. Los sistemas de prevención de intrusiones en el host (HIPS) son un ejemplo de aplicaciones de ingeniería técnica que ayudan a identificar, prevenir y/o disuadir eventos e intrusiones no deseados, insospechados o sospechosos.

Cualquier enrutador que implemente el filtrado de entrada verifica el campo de IP de origen de los paquetes IP que recibe y descarta los paquetes si estos no tienen una dirección IP en el bloque de direcciones IP al que está conectada la interfaz. Esto puede no ser posible si el host final tiene múltiples hosts y también envía tráfico de red de tránsito.

En el filtrado de entrada, los paquetes que entran a la red se filtran si la red que los envía no debe enviar paquetes desde la(s) dirección(es) IP de origen. Si el host final es una red o host de enlace, el enrutador debe filtrar todos los paquetes IP que tengan, como IP de origen, direcciones privadas (RFC 1918), direcciones bogon o direcciones que no tengan la misma dirección de red que la interfaz. [2]

Redes

El filtrado de ingreso a la red es una técnica de filtrado de paquetes utilizada por muchos proveedores de servicios de Internet para intentar evitar la falsificación de direcciones IP del tráfico de Internet y, de este modo, combatir indirectamente varios tipos de abuso de la red al hacer que el tráfico de Internet sea rastreable hasta su origen.

El filtrado de ingreso a la red hace que sea mucho más fácil rastrear los ataques de denegación de servicio hasta su(s) origen(es) para que puedan solucionarse. [3]

El filtrado de ingreso a la red es una política de buen vecino que se basa en la cooperación entre los ISP para su beneficio mutuo.

Las mejores prácticas actuales para el filtrado de ingreso a la red están documentadas por el Grupo de trabajo de ingeniería de Internet en BCP 38 y 84, que están definidas por RFC 2827 y RFC 3704, respectivamente. [4] [5]

BCP 84 recomienda que los proveedores ascendentes de conectividad IP filtren los paquetes que ingresan a sus redes provenientes de clientes descendentes y descarten cualquier paquete que tenga una dirección de origen que no esté asignada a ese cliente.

Hay muchas formas posibles de implementar esta política; un mecanismo común es habilitar el reenvío de ruta inversa en los enlaces a los clientes, lo que aplicará indirectamente esta política en función del filtrado de ruta del proveedor de los anuncios de ruta de sus clientes.

Despliegue

En 2012, un informe sugirió que, contrariamente a la opinión general sobre la falta de implementación de BCP 38, aproximadamente el 80% de Internet (según diversas mediciones) ya estaba aplicando filtrado de paquetes anti-suplantación de identidad en sus redes. [6]

Al menos un experto en seguridad informática está a favor de aprobar una ley que obligue al 100% de todos los ISP a implementar el filtrado de entrada a la red según lo definido en la norma BCP 38 de la IETF. En los EE. UU., presumiblemente la FCC haría cumplir esta ley. [3]

Véase también

Referencias

  1. ^ Zhauniarovich, Yury; Dodia, Priyanka (junio de 2019). "Clasificación de la basura: filtrado del tráfico de amplificación DRDoS en redes de ISP". Conferencia IEEE de 2019 sobre softwarización de redes (NetSoft) . IEEE. págs. 142–150. doi :10.1109/netsoft.2019.8806653. ISBN. 978-1-5386-9376-6. Número de identificación del sujeto  201621791.
  2. ^ Robert Gezelter (1995) Seguridad en Internet Capítulo 23 en Hutt, Bosworth y Hoytt (1995) "Computer Security Handbook, Third Edition", Wiley, sección 23.6(b), pp 23-12, et seq.
  3. ^ ab Dr. David A. Wheeler. "¿Qué leyes se deberían crear para mejorar la seguridad informática?" . Consultado el 10 de junio de 2023 .
  4. ^ Ferguson, P.; Senie, D. (mayo de 2000). Filtrado de entrada a la red: cómo vencer los ataques de denegación de servicio que emplean suplantación de direcciones IP de origen. IETF . doi : 10.17487/RFC2827 . BCP 38. RFC 2827.
  5. ^ Baker, F.; Savola, P. (marzo de 2004). Filtrado de entrada para redes multihomed. IETF . doi : 10.17487/RFC3704 . BCP 84. RFC 3704.
  6. ^ Barry Greene (11 de junio de 2012). "¡Todo el mundo debería estar implementando BCP 38! Esperen, ya están...". senki.org.

Enlaces externos